W sieci Base wykryto exploit
W sieci Base doszło do ataku: nieznany sprawca wykorzystał lukę w jednym ze smart-kontraktów i wyprowadził około 55 WETH (co w momencie zdarzenia stanowiło równowartość około $219 tysięcy).
Monitoring on-chain prowadzony przez BlockSec Phalcon zauważył nietypowe ruchy środków, przeanalizował je i stwierdził, że problem jest związany ze sposobem, w jaki skonfigurowano prawa dostępu w kontrakcie. Celowy lub przypadkowy błąd w weryfikacji uprawnień pozwolił hakerowi pobrać tokeny, wykorzystując wcześniej wydane przez użytkowników zgody (approvals), bez konieczności jakiegokolwiek nowego potwierdzenia z ich strony.
Dla przeciętnego użytkownika Base wygląda to tak, jakby środki znikały z jego salda, mimo że niczego w tym momencie nie potwierdzał. Dlatego BlockSec Phalcon wzywa klientów sieci do pilnego sprawdzenia aktywnych zezwoleń i, w razie potrzeby, ich odwołania dla adresu problematycznego kontraktu 0xE143b486ab0413Df0D6DAd2caf6d2f61CAC54730.
Jest to standardowy środek ostrożności, który pomaga zablokować dalsze próby wypłat i daje zespołom czas na uporanie się z luką.
Co ważne należy wynieść z tej historii?
Taki atak nie jest związany ze złamaniem samych portfeli – chodzi o błąd w logice konkretnego kontraktu, któremu użytkownicy z góry udzielili dostępu. Kiedy brakuje odpowiednich mechanizmów weryfikacji, taki dostęp staje się oknem możliwości dla atakującego. W rezultacie środki mogą zostać wyprowadzone szybciej, niż większość zdąży to zauważyć.
Podczas gdy specjaliści badają szczegóły, użytkownicy powinni zachować typową higienę bezpieczeństwa: ponownie przejrzeć zezwolenia, usunąć wszystkie niepotrzebne, a w przyszłości unikać bezterminowych i «nieograniczonych» dostępów.
Incydent w Base jest przypomnieniem, że nawet w dużych i niezawodnych ekosystemach pojedynczy błąd w jednym ogniwie może prowadzić do realnych strat. Im bardziej uważnie podchodzimy do udzielanych zezwoleń, tym mniejsza szansa, że zobaczymy własne tokeny wśród cudzych przelewów.
Base – to L2 blockchain Ethereum, uruchomiony z udziałem Coinbase na platformie OP Stack. Dziedziczy on bezpieczeństwo głównej sieci, ale oferuje niższe opłaty i szybsze działanie, co uczyniło go platformą dla masowych aplikacji i wprowadzania nowych użytkowników. Podobny w istocie exploit w Base odnotowano już we wrześniu 2025 roku. Wtedy straty były niewielkie: oszacowano je na około $90 000, ale przyczyna (swobodny dostęp w kodzie kontraktu) była identyczna jak w obecnym przypadku.
Treści publikowane na GNcrypto mają wyłącznie charakter informacyjny i nie stanowią porady finansowej. Dokładamy starań, aby informacje były rzetelne i aktualne, jednak nie gwarantujemy ich pełnej poprawności, kompletności ani niezawodności. GNcrypto nie ponosi odpowiedzialności za ewentualne błędy, pominięcia ani straty finansowe wynikające z polegania na tych treściach. Wszystkie działania podejmujesz na własne ryzyko. Zawsze prowadź własne badania i korzystaj z pomocy profesjonalistów. Szczegóły znajdziesz w naszych Warunkach, Polityce prywatności i Zastrzeżeniach.
Artykuły tego autora
